¿En manos de quién esta tú información?

martes, 21 diciembre 2010 16:16 by armando

Ayer fue oficialmente mi primer día de vacaciones, en la empresa donde laboro es ya tradición que las últimas 2 semanas de cada año se den de vacaciones. Este fin de semana comencé a explorar alternativas y a leer un poco en internet. Una de mis "tareas" por así decirlo, era la manera de manejar mejor todas mis cuentas en internet. Buscando un poco encontre algunas soluciones interesantes, y entre todas la que mas me convenció fue LastPass. Este servicio basicamente funciona como una boveda para todas tus cuentas, vas almacenando cada una de ellas mientras te vas firmando en cada sitio y cuando regresas a cada sitio el plugin automaticamente llena la información por ti. Hace pocos años esto hubiera sido quizás una solución "exagerada" por ponerlo de alguna manera, pero cada vez mas nos suscribimos a diferentes sitios y servicios y es casi imposible poder recordar las contraseñas que tenemos en cada uno de ellos. Ya alguna vez había tratado de usar una solución de Symantec, pero el hecho que estuviera amarrada unicamente a mi computadora hacía que el servicio NO fuera interesante. Al ser una opción SaaS, practicamente lo hace disponible en cualquier lugar. (El producto Plus "con costo", tiene soporte para casi todas las plataformas, blackberry,iphone,android,windows mobile,ipad).

Pero curiosamente no fue por ninguna de estas características (que esta de sobra mencionar que son muy buenas), que me decidí por este producto, si no porque ofrece una opción adicional para autenticarte. "Two Factor Authentication", lo cual es simplemente utilizar un componente adiciona al ya tradicional (usuario/clave) que ya todos conocemos. Un ejemplo muy claro son los famosos "tokens" o tarjetitas con muchos numeros que nos dan en el banco, los cuales sirven para corroborar que no nos hayan "pirateado" nuestra contraseña. La razón pues es obvia, si aqui voy a tener todo el repositorio de mis contraseñas, es importantisimo que la seguridad sea mas alta que lo normal. Pero aun mejor es que el esquema que utiliza es el de OTP (One Time Password), lo que significa que cada vez que me firmo ademas de mi usuario y clave, genero una clave unica e irrepetible, lo que hace practicamente IMPOSIBLE que alguien pueda entrar a mi cuenta. Esto es posible gracias a un gadget muy interesado llamado Yubikey, el cual es el encargado de generar la clave antes mencionada, con solo presionar un botón.

La verdad es que es super cómodo el utilizar el servicio y no tener que estar recordando cada vez que entro a un sitio las contraseñas, pero el motivo que me llevó a escribir este post fue lo siguiente: El día de hoy Gawker (la empresa detrás de sitios como Gizmodo, Kotaku y Lifehacker, sacó a la luz pública que fueron comprometidas miles de cuentas de sus subscriptores, lo que rapidamente hizo que sitios como twitter y gmail resetearan passwords de sus propios servicios, ya que la base de datos de las cuentas fue publicada, y obviamente muchos de estos usuarios utilizaban el mismo par de usuarios y contraseñas en otros sitios.

A donde voy es que siempre pensamos que eso nunca nos puede pasar a nosotros, que nuestra clave es imposible de adivinar, o somos lo suficientemente ingenuos que todos los sitios en internet, hacen hash de nuestras claves o por lo menos las encriptan, lo cual obviamente no es el caso. En mi caso, estamos hablando de banca electrónica, y servicios de diferente índole (blockbuster,netflix,hulu,pandora,zune,safaribooks,por mencionar algunos), y que sería extremadamente doloroso económicamente ademas de lo latoso de volver a recuperar mis cuentas. La noticia de Gawker fue un baldazo de agua fría para que recordemos que no debemos tomar a la ligera nuestra seguridad en línea.

Me gustaría cerrar este post con recomendaciones para evitar al máximo el robo de identidad, obviamente estas aplican de manera diferente a cada quién dependiendo de lo que esta en juego:

  • Nunca utilices la misma combinación de usuario y contraseña en sitios diferentes, esto te protegerá en caso que uno de ellos haya sido comprometido.
  • Trata de utilizar contraseñas complejas, más de 7 caracteres, con combinaciones de letras, numeros y caracteres no alfanumericos.
  • Cuando exista la opción, utiliza métodos de autentificación adicionales al usuario y contraseña.
  • Utiliza servicios como Lastpass para llevar el control de todos tus servicios.
  • Nunca confiar que los servicios "la mayoria gratuitos" que utilizamos, tendrán el cuidado necesario con nuestra información.
  • Genera una sola contraseña compleja que te sepas de memoria y que sea tu clave maestra.

Esto evento desencadeno que entrando el año, comencemos a realizar pruebas internas de "two factor authentication" para nuestros clientes. En un futuro post les platicaré que tal resultaron.

Me encantaría recibir sus comentarios y opiniones al respecto.

 

 

Digg It!DZone It!StumbleUponTechnoratiRedditDel.icio.usNewsVineFurlBlinkList

Sea el primero en calificar este post

  • Currently 0/5 Stars.
  • 1
  • 2
  • 3
  • 4
  • 5
Tags:   ,
Categories:   aplicaciones | comunidades | Infraestructura | Mexico | SaaS | Seguridad | software | twitter
Actions:   E-mail | Permalink | Comentarios (1) | Comment RSSRSS comment feed

Comentarios

Añadir comentario


(Mostrará su icono Gravatar )  

  Country flag

biuquote
  • Comentario
  • Vista previa
Loading